Ankündigung

Einklappen
Keine Ankündigung bisher.

Eingaben zur DB überprüfen, trotz sehr eingeschränkten Rechten des DB-Kontos?

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Eingaben zur DB überprüfen, trotz sehr eingeschränkten Rechten des DB-Kontos?

    Hi,

    Tut mir leid wenn die Überschrift nicht aussagekräftig ist, wusste nicht wie ich dass dort zusammenfassen soll...

    Man soll ja seine Anwendung gegen Sql-Attacken schützen, da stellt sich für mich die Frage:

    Wenn ich ein neues (Datenbank) User-Konto erstelle, das in meiner Applikation angegeben wird, damit eine Verbindung zur DB aufgebaut wird und diesem sehr eingeschränkte Rechte gebe, z.B. nur schreiben, lesen, und updaten für nur bestimmte Tabellen bzw Felder, wie groß könnte denn dann der Schaden sein, wenn jemand die Zugangsdaten herauskriegt??

    Er darf ja weder ein neues Konto erstellen, noch Rechte vergeben oder irgendetwas löschen.

    Natürlich soll man immer die Eingaben überprüfen bevor man sie zur DB schickt. Aber es wäre beruhigend zur wissen, dass in so einem Fall eine sql-injection oder desgleichen dem Angreifer --überhaupt nichts-- bringt, weil die benötigten Rechte nicht vorhanden sind. Oder lieg ich da falsch?

    lg miara


  • #2
    Nicht ganz, aber bei den meisten 08-15-Hostern ist es ohnehin nicht gegeben, dass Datenbankuser angelegt und Rechte vergeben werden können.
    --

    „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
    Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


    --

    Kommentar


    • #3
      Naja wenn DELETE erlaubt ist kann der Angreifer theoretisch löschen. Mit UPDATE könnte er sich Zugang als Administrator verschaffen und per SELECT könnte er deine Userdaten auslesen und z.b. die Emails für Spam verwenden. In jedem Fall kann das unangenehme folgen für dich haben. Daher solltest du auf SQL Injection aufpassen. Aber ein eingeschränkter SQL User macht natürlich auch in jedem Fall Sinn!

      Kommentar

      Lädt...
      X